Migalhas de Peso

O tratamento dos currículos na LGPD

O cuidado com as regras da LGPD, no âmbito das relações trabalhistas, começa na captação dos currículos e na forma que estes são tratados dentro da empresa.

13/4/2022

(Imagem: Artes Migalhas)

A porta de entrada para muitas empresas se dá através da entrega de currículos pelos candidatos interessados em fazer parte do quadro de colaboradores da empresa, muitas vezes por intermédio de empresas especializadas no recrutamento e seleção de candidatos.

Até então, não havia regras específicas para o tratamento dos referidos documentos. No entanto, com o advento da lei 13.709/18, a denominada LGPD - Lei Geral de Proteção de Dados, passou a disciplinar um novo regramento para a coleta e guarda de dados considerados sensíveis, fato que desencadeou inúmeros questionamentos acerca do tratamento dos dados dos candidatos às vagas existentes.

Um dos principais conceitos trazidos pela LGPD foi a definição das espécies de dados, haja vista o tratamento específico que cada um deve receber, vejamos:

Art 5 Para os fins desta lei, considera-se:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

Assim, podemos compreender que dados pessoais são todos os dados coletados de uma pessoa natural, enquanto dados anonimizados estão relacionados a um titular não identificado.

Por outro lado, os dados sensíveis merecem um tratamento mais cuidadoso por parte das empresas, haja vista a lei trazer restrições a sua utilização, e penalidades nos caos de desatenção à lei.

Nesse sentido, dispõe a LGPD sobre o tratamento de dados sensíveis:

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

Nos termos do supratranscrito art. 11 da LGPD, é necessário o consentimento do titular dos dados para que haja o tratamento de seus dados pessoais sensíveis, delimitando a finalidade específica de sua utilização.

Independentemente da forma de captação do currículo, seja físico ou digital, será necessária a adequação dos procedimentos internos da empresa, para o correto tratamento dos dados apresentados por cada candidato, bem como a delimitação das pessoas que irão receber e tratar os referidos documentos, sendo denominados pela LGPD como controladores.

É importante destacar que os currículos não poderão circular pelas mãos de diversos funcionários da empresa, sendo necessário para tanto, definir um colaborador ou uma equipe que irá controlar o recebimento de tais documentos.

Assim, definidas as pessoas que terão acesso aos currículos e dados nele expressos, é necessário fixar balizas técnicas com a finalidade de eliminar a possibilidade do acesso de terceiros desautorizados, ou ainda, o vazamento dos dados.

Conforme expresso no inciso II do art. 5 da LGPD, os dados sensíveis são aqueles que guardam informações específicas dos candidatos e que, em outros contextos poderiam ser utilizados de forma a ferir a sua privacidade ou outros direitos personalíssimos.

Sob esse aspecto, é essencial analisar qual a finalidade daquele dado que será coletado, lembrando que é necessário o consentimento do candidato, de forma específica e destacada, para finalidades específicas, nos termos do já citado art. 11.

Em outras palavras, ao coletar um dado sensível do candidato, este deverá saber a sua finalidade específica e consentir expressamente, sob pena de ser considerado como utilização indevida de dados pessoais sensíveis.

Não obstante, será possível ainda a manutenção dos dados pela empresa valendo-se do disposto no art. 10, inciso II da LGPD, vejamos:

Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

(...)

II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.

Sob esse aspecto, é possível compreender que a manutenção do currículo do candidato, na finalidade de preenchimento de futura vaga, é de seu interesse legítimo, o que justificaria a aplicação do antedito art. 10, no entanto, a fim de melhor resguardar a empresa, o recomendado é sempre colher o consentimento específico do candidato.

Por outro lado, é importante deixar claro aos candidatos que, a qualquer tempo poderão solicitar a exclusão de seu currículo, bem como de seus dados dos arquivos da empresa, garantindo o devido tratamento das informações.

Com o devido tratamento na fase de recebimento dos documentos, bem como durante o processo seletivo, é importante ainda analisar as regras de tratamento para sua utilização e descarte.

Dispõe o art. 16 da LGPD sobre a eliminação de dados:

 Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

I - cumprimento de obrigação legal ou regulatória pelo controlador;

II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou

IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Em relação aos candidatos aprovados, deve-se analisar qual a necessidade real de manter determinados dados sensíveis coletados no processo seletivo no banco de dados da empresa.

Na situação de manutenção dos dados, é necessário evidenciar ao candidato aprovado os dados que serão mantidos em seu arquivo junto à empresa, esclarecendo a finalidade da manutenção, colhendo para tanto a confirmação de consentimento do novo funcionário, de modo a atender o que está expresso no art. 11 da LGPD.

Por outro lado, no caso dos currículos dos candidatos não selecionados, estes podem receber o tratamento de guarda ou descarte, devendo ser observados alguns critérios:

1) esteja expressa a finalidade (ex.: novas vagas);

2) o prazo máximo de guarda (ex.: 2 anos);

3) que haja o consentimento expresso do candidato não selecionado.

No caso, a empresa pode colher o consentimento do candidato para manter o documento por um prazo determinado, para o preenchimento de eventuais vagas que surjam no período estabelecido.

Não havendo interesse na manutenção dos currículos não selecionados, a empresa deverá adotar técnicas adequadas para o descarte dos documentos e dados coletados.

Acerca da eliminação dos dados, é importante destacar que a forma de descarte deve garantir a impossibilidade de acesso por terceiros desautorizados.

Assim, o descarte de currículos físicos recebidos não poderá ser feita em lixeiras comuns ou máquinas que possibilitem a sua reconstrução, razão pela qual é aconselhado o descarte por intermédio de empresas especializadas em tratamento químico, ou incineração, ou ainda, na sede da empresa em meios que impeçam a reconstituição do documento físico.

Já em relação aos documentos e dados digitais, é necessário um tratamento e descarte de forma a eliminar as possibilidades de acesso por pessoas não autorizadas ou o vazamento das informações.

Para tanto, a empresa poderá adotar as medidas de descarte que melhor lhe atendam, considerando a quantidade de documentos e dados, observadas as condições de inviabilização do documento.

A adoção do correto descarte é importante, pois a empresa fica obrigada a emitir o relatório de impacto à proteção de dados pessoais, assim descrito pela no art. 5 da LGPD:

XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

O referido relatório visa apurar eventuais falhas na manutenção e tratamento dos dados, de modo a viabilizar a devida correção, além de subsidiar o poder público em eventuais fiscalizações, atestando que a empresa adota regras adequadas de tratamento de dados pessoais sensíveis, evitando o seu vazamento.

Por fim, cabe elencar as penalidades previstas na LGPD em caso de tratamento inadequado de dados, ou ainda, nas hipóteses de seu vazamento indevido, vejamos:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:   

I - advertência, com indicação de prazo para adoção de medidas corretivas;

II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III - multa diária, observado o limite total a que se refere o inciso II;

IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI - eliminação dos dados pessoais a que se refere a infração;

VII - (VETADO);

VIII - (VETADO);

IX - (VETADO).

X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  

XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;  

XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Necessário observar que as penalidades trazidas pela LGPD podem inviabilizar o funcionamento da empresa, haja vista elencar multas em montantes consideráveis, além das suspensões de atividades e funcionamento do banco de dados, o que poderia acarretar impactos irreversíveis para a continuidade das atividades.

Nesse sentido é primordial que as empresas se atentem às regras trazidas pela lei 13.709/18 – LGPD, no tratamento dos currículos dos candidatos, desde o seu recebimento, passando por toda coleta de dados do processo seletivo, até o correto descarte, devendo ser considerada a possibilidade de aplicação das penalidades elencadas na LGPD.

Saulo Costa Magalhães
Advogado do escritório Santos Perego & Nunes da Cunha Advogados Associados.

Veja mais no portal
cadastre-se, comente, saiba mais

Leia mais

Migalhas de Peso

Retorno positivo das empresas que se adequaram à LGPD

8/2/2022
Migalhas de Peso

A Lei Geral de Proteção de Dados (LGPD) e o compliance

31/1/2022

Artigos Mais Lidos

Decisão importante do TST sobre a responsabilidade de sócios em S.A. de capital fechado

20/12/2024

Planejamento sucessório e holding patrimonial: Cláusulas restritivas societárias

20/12/2024

As perspectivas para o agronegócio brasileiro em 2025

20/12/2024

A sua empresa monitora todos os gatilhos e lança as informações dos processos trabalhistas no eSocial?

20/12/2024

O futuro dos contratos: A tecnologia blockchain e o potencial dos smart contracts no Brasil

20/12/2024